Межсайтовый скриптинг и повышение привилегий в Musicmatch Jukebox

Дата публикации:
18.04.2005
Всего просмотров:
809
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2005-1167
CVE-2005-1168
CVE-2005-1185
CVE-2005-1186
Вектор эксплуатации:
Удаленная
Воздействие:
Неавторизованное изменение данных
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Musicmatch Jukebox 10
Musicmatch Jukebox 9
Musicmatch Jukebox 8.x
Уязвимые версии: Musicmatch Jukebox 10.00.2047 и более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и локальному пользователю повысить свои привилегии на системе.

1. Уязвимость существует в функции CreateProcess() файла 'MMFWLaunch.exe' из-за некорректной обработки входных данных. Локальный пользователю может выполнить произвольный файл с привилегиями пользователя, запустившего приложения.

2. Межсайтовый скриптинг возможен из-за недостаточной обработки HTML тегов. Удаленный пользователь может выполнить произвольный HTML од в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: www.musicmatch.com

Решение: Установите обновление от производителя.

Ссылки: Musicmatch Jukebox Lets Local Users Gain Elevated Privileges and Remote Users Conduct Cross-Site Scripting Attacks

или введите имя

CAPTCHA